Probablemente Amazon sea una de las empresas con mayor nivel de seguridad de datos en el mundo. Nunca ha sufrido una violaciรณn de la informaciรณn de sus clientes (a menos que contemos lo ocurrido hace poco con la cadena de supermercados Whole Foods, comprada por Amazon hace unos meses). Incluso la CIA usa Amazon Web Services para almacenar su informaciรณn de forma segura. Por eso, el anuncio que hizo la empresa la semana pasada resulta llamativo, aunque no sorpresivo: planea vender el hardware de sus servicios de computo en la nube en China para cumplir con la nueva ley de seguridad de ese paรญs, que entrรณ en vigencia este aรฑo. Si bien Amazon no abandonarรก China del todo, esto representa un gran cambio: segรบn CNBC, โAmazon declarรณ que solo estรก vendiendo โdeterminados recursos fรญsicosโ y que aรบn es dueรฑo de la propiedad intelectual de AWS en todo el mundoโ.
ยฟPor quรฉ un paรญs querrรญa perjudicar a una empresa que tiene un excelente historial con respecto a la seguridad, con la excusa de fortalecer la seguridad de los datos?
En parte, esta nueva ley se centra en la localizaciรณn de los datos y exige que toda la informaciรณn importante sobre ciudadanos chinos o seguridad nacional se almacene de forma local en servidores que se encuentren fรญsicamente en China. Esto podrรญa ser un requisito complicado para las empresas internacionales, como Amazon, que regularmente transfieren y copian informaciรณn a lo largo de su red de centros de datos. Teniendo esto en cuenta, no resulta sorpresivo que Amazon le vendiera toda su infraestructura localizada en China a Beijing Sinnet Technology Co. Ltd, una empresa local. Otras empresas de tecnologรญa con sede en los Estados Unidos, como Apple, Oracle y Microsoft, tambiรฉn han iniciado el proceso para transferir el control de la informaciรณn pertinente a las compaรฑรญas chinas.
Existen dos razones generales por las que un paรญs podrรญa estar interesado en localizar su informaciรณn dentro de su propio territorio. La primera es que es posible que la informaciรณn estรฉ menos segura si estรก almacenada en otros paรญses (o si pasa por varios paรญses hasta llegar al servidor final). Ya sea porque esas naciones podrรญan exigir menos requisitos de seguridad a las empresas y su infraestructura, o porque los gobiernos mismos podrรญan interceptar o recolectar esa informaciรณn almacenada en servidores que estรกn ubicados dentro de su jurisdicciรณn. La segunda razรณn es que todos los datos de sus ciudadanos estarรญan localizados รบnicamente dentro de su propia jurisdicciรณn, lo que les garantizarรญa tener un mejor y mรกs rรกpido acceso a ellos en caso de necesitarlos para alguna investigaciรณn.
Ambos argumentos tienen un poco de verdad: es mรกs fรกcil para los gobiernos extranjeros apoderarse de la informaciรณn que pasa por sus paรญses y los datos que se encuentran dentro de las fronteras de un paรญs son mรกs accesibles. Pero es posible que ubicar la informaciรณn en un paรญs especรญfico perjudique la seguridad. Sin duda, traspasar los datos de los servidores operados directamente por Amazon, Microsoft y Apple hace que el gobierno chino pueda disponer de ellos con mayor facilidad, lo que probablemente sea la intenciรณn de esta nueva ley. Sin embargo, es posible que no ayude a proteger los datos sensibles de ese paรญs contra los cibercriminales o el espionaje extranjero.
Por ejemplo, en muchos casos, las agencias de inteligencia de los Estados Unidos pueden recolectar informaciรณn con mayor libertad fuera de su paรญs que dentro de su propio territorio. Y eso se debe a que pueden asumir que esa informaciรณn, por estar fuera de los Estados Unidos, pertenece a individuos extranjeros, a menos que su objetivo sea claramente una persona estadounidense. Muchas veces, dentro de los Estados Unidos, el gobierno tiene que sortear distintos obstรกculos legales para recolectar datos. No obstante, fuera de sus fronteras, esos obstรกculos desaparecen, y el gobierno no necesita usar los tribunales para acceder a la informaciรณn almacenada. Sin embargo, esto tambiรฉn significa que el gobierno estadounidense no puede usar los tribunales para obligar a las empresas a proporcionar esos datos.
La razรณn mรกs convincente para confiar en empresas como Amazon con datos sensibles es su historial: han demostrado una y otra vez que tienen lo necesario para brindar y mantener las medidas tรฉcnicas y los controles necesarios a fin de proteger la informaciรณn contra intrusos. De hecho, varias empresas estadounidenses de tecnologรญa estuvieron a la vanguardia cuando se tratรณ de reforzar sus medidas de seguridad para proteger datos contra el espionaje del gobierno local luego de la divulgaciรณn que Edward Snowden hizo sobre los programas de vigilancia de ese paรญs.
No es seguro si las empresas chinas que han tomado el control de las operaciones de hardware ubicado en ese paรญs, como parte de su sociedad con las empresas estadounidenses de tecnologรญa en la nube, contarรกn con medidas tรฉcnicas de seguridad que sean igual de sรณlidas que las de sus homรณlogas. Lo que sรญ es seguro es que pueden ignorar con mayor facilidad los intentos por parte del gobierno estadounidense de obtener informaciรณn mediante mecanismos legales, como รณrdenes judiciales. Aรบn se desconoce si las empresas ubicadas en Estados Unidos podrรกn rehusarse a cumplir con las รณrdenes judiciales que exijan darles acceso a los datos almacenados en paรญses extranjeros que pertenezcan a ciudadanos extranjeros. Dependerรก del resultado de un caso que se tratarรก en la Corte Suprema en el que Microsoft estรก luchando contra una orden judicial que le exige proporcionar la informaciรณn que estรก almacenada en un centro de datos en Irlanda.
Si la Corte Suprema falla a favor de Microsoft y considera que el gobierno no tiene derecho a acceder a la informaciรณn de ciudadanos extranjeros almacenada en centros de datos en otros paรญses, es posible que otros paรญses comiencen a solicitar o exigir que la informaciรณn se almacene dentro de su territorio, donde estarรก fuera del alcance de la ley estadounidense. Para hacerlo posible, podrรญan trabajar con empresas extranjeras. Pero si la Corte Suprema falla a favor del Departamento de Justicia, es probable que esos paรญses decidan usar empresas locales para almacenar sus datos, como estรก haciendo China.
De cualquier forma, no hay duda de que las normas sobre cรณmo y dรณnde se almacena la informaciรณn perjudicarรกn la eficiencia y los beneficios prometidos de seguridad de la tecnologรญa en la nube. Parte de los beneficios de esta tecnologรญa es que es posible reubicar recursos y mover datos para crear fluctuaciones en la actividad de los clientes. Asรญ mismo, parte de encomendar nuestra informaciรณn a Amazon Web Services supone confiar en una empresa grande, que cuenta con los recursos necesarios para usar un equipo experto de seguridad para proteger nuestros datos. Hacer que para las empresas de tecnologรญa en la nube sea mรกs difรญcil mover datos entre paรญses tambiรฉn les complica usar eficientemente sus servidores asignando recursos a distintos clientes en funciรณn de lo que mรกs necesitan o almacenando datos donde sea mรกs barato. Ademรกs, despojar a esos proveedores de la tarea de proteger los datos implicarรญa perder su conocimiento en cuestiones de seguridad tรฉcnica.
La intenciรณn que tiene China de aprovechar la tecnologรญa de Amazon para adaptar la infraestructura local de hardware sugiere que su gran temor al ciberespionaje extranjero ya no tiene que ver con cuestiones tรฉcnicas sino polรญticas. Si China quisiera proteger su informaciรณn contra maniobras tรฉcnicas del gobierno estadounidense, no tendrรญa mejor opciรณn que recurrir a las empresas mรกs importantes con sede en ese paรญs, que han invertido mucho tiempo e innumerables recursos en demostrar su compromiso con la protecciรณn de datos contra ataques de su propio gobierno. Por el contrario, China estรก mรกs preocupada por que el gobierno estadounidense utilice medios legales, como รณrdenes judiciales, para obtener informaciรณn almacenada por esas empresas. Para evitar esto, estรก dispuesta a sacrificar la seguridad tรฉcnica que le ofrecen las compaรฑรญas como Amazon en favor de la garantรญa que le dan las empresas locales, que estรกn fuera del alcance legal (pero no tรฉcnico) de los gobiernos extranjeros.
***
Este artรญculo es publicado gracias a una colaboraciรณn de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
profesora asistente de polรญticas de ciberseguridad en la Tufts Fletcher School of Law and Diplomacy.